GraalVM沙箱体验

已于 2023-08-23 10:39:07 修改
阅读量139 收藏
点赞数
文章标签: java
于 2023-08-23 10:36:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jknight1993/article/details/132433105
版权

背景

在参与开发的Java工程中,需要使用GraalVM执行用户输入的JS代码。这些代码是不可信的,可能存在恶意代码,因此需要限制执行代码时使用的各种资源。
在2023年6月发布的GraalVM企业版中,首次支持sandbox特性,支持限制CPU时间、堆内存、语句数量等条件。本文介绍在本地运行示例代码的过程,以及部分阅读源码的结果。
官方介绍文档:https://www.graalvm.org/latest/security-guide/polyglot-sandbox/

准备工作

  • Windows 10系统
  • 下载并配置最新版本的GraalVM企业版(社区版不支持沙箱功能)

测试代码与结果

使用单元测试执行以下代码,均抛出资源限制相关异常。

限制最大语句数量

    @Test
    public void testGraalSandboxMaxStatements() {
        // 限制最大语句数量
        try (Context context = Context.newBuilder("js")
            .option("sandbox.MaxStatements", "2").option("sandbox.MaxCPUTime", "2s").build()) {
            context.eval("js", "print('Hello JavaScript1!');print('Hello JavaScript2!');print('Hello JavaScript3!');");
        }
    }

在这里插入图片描述

限制CPU时间

    @Test
    public void testGraalSandboxMaxCPUTime() {
        // 限制CPU时间
        try (Context context = Context.newBuilder("js")
            .option("sandbox.MaxCPUTime", "1s").build()) {
            context.eval("js", "while(true){};print('hello')");
        }
    }

在这里插入图片描述

限制堆内存大小

    @Test
    public void testGraalSandboxMaxHeapMemory() {
        // 限制堆内存大小
        try (Context context = Context.newBuilder("js")
            .option("sandbox.MaxHeapMemory", "10MB").build()) {
            context.eval("js", "var r = {}; var o = r; while(true) { o.o = {}; o = o.o; };");
        }
    }

在这里插入图片描述

注意事项

  • GraalVM的沙箱功能只能在企业版使用。GraalVM社区版和OpenJDK均无法使用。

部分源码

sandbox相关的源码在com.oracle.truffle.sandbox.enterprise包中,估计被混淆了,无法查看。
在这里插入图片描述

计算堆内存的源码在类com.oracle.truffle.polyglot.PolyglotContextImplcalculateHeapSize方法
在这里插入图片描述

柠檬茶薄荷糖
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
graalvm-沙盒
02-13
graalvm-沙盒
沙箱原理介绍,沙箱的分类
08-05
沙箱的原理和分类,主要分为应用级沙箱、内核级沙箱。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。...
Serverless 的喧哗与骚动(一)附Serverless行业发展回顾
阿里巴巴云原生的博客
08-22 489
作者 | 阿里中间件高级技术专家 许晓斌《Maven实战》作者,曾负责 AliExpress 微服务架构演进,现在负责阿里集团 Serverless 技术研发落地。 导读:从 2016 年 AWS 发布 Lambda 以来,全世界的开发者和云厂商对 Serverless 的热情在不断高涨。假设不想在开发应用程序并将其部署在服务器上的过程细节上花费精力,是否有一种简单的架构模型能够满足我们这种想法...
GraalJS及平台JS脚本能力建设
dreamsofa的专栏
09-25 1009
发布时,Nashorn是ECMAScript-262 5.1的完整实现,增强了JavaJavaScript的兼容性,并增加了新的ECMAScript 6(ES6)特性。基于业务模型数据经常需要开发特定数据发分析, 对于大数据场景可以使用大数据技术来进行数据挖掘和分析, 对于短周期或小批量的数据,基于灵活多变规则的实时分析可以考虑使用JS脚本来解决规则多变的问题。javax.script 脚本API由定义Java脚本引擎的接口和类组成,提供在Java应用程序中的使用脚本的框架。:基于底层引擎平台封装。
springboot集成graaljs +sandbox
小虫子编程课
04-27 2754
<dependency> <groupId>org.javadelight</groupId> <artifactId>delight-nashorn-sandbox</artifactId> <version>0.1.31</version> <exclusions> <exclusion> <groupId>org
java如何用脚本引擎执行javascript代码
w_xy999的博客
02-26 572
脚本引擎 介绍 JAVA脚本引擎是从JDK6.0之后添加的新功能 什么是脚本引擎? 使得java应用程序可以通过一套固定的接口与各种脚本引擎交互,从而达到在java平台上调用各种脚本语言的目的 java脚本API是连通java平台和脚本语言的桥梁 可以把一些复杂易变的业务逻辑交给脚本语言处理,这大大提高了开发效率。 简单说就是脚本引擎是java平台和其他脚本语言平台(例如js平台)的中间平台,...
Serverless 的喧哗与骚动
CSDN业界要闻
09-17 231
戳蓝字“CSDN云计算”关注我们哦!导读:从 2016 年 AWS 发布 Lambda 以来,全世界的开发者和云厂商对 Serverless 的热情在不断高涨。假设不想在...
2020 云原生 7 大趋势预测
热门推荐
阿里云开发者
01-16 1万+
简介: 17位专家、7大趋势、万字长文。 (作者排名不分先后) 作者:叔同、谷朴、不瞋、育睿、许晓斌、至简、典违、鲁直、改之、小剑、汤志敏、白慕、循环、文卿,喽哥、水鸟、神秀 过去的几年,是云原生技术和理念得到广泛接受的几年。在这个快速发展的领域,预测未来显得尤其困难,但是我们又有着一些坚定的信念,相信以开放创新为支撑的云原生领域会持续重塑软件生命周期,带来不断的价值。 2019,在众多...
2020 云原生技术 7 大领域趋势全预测
阿里巴巴云原生的博客
01-17 1825
文章联合撰稿人(排名不分先后)叔同、谷朴、不瞋、育睿、许晓斌、至简、典违、鲁直、改之、小剑、汤志敏、白慕、循环、文卿,喽哥、水鸟、神秀。 在筹备阿里云首届云原生实践峰会的过程中,我们展开了对云原生技术的应用和研究领域的探索,邀请了 17 位云原生技术专家从 Serverless、Service Mesh、Kubernetes、边缘计算、容器实例与容器引擎、云原生基础架构、云原生应用开发 7 个发展...
Sandboxie隔离沙箱
04-29
Sandboxie官方版 电脑就像一张纸,程序的运行与改动,就像将字写在纸上。而Sandboxie就相当于在纸上放了块玻璃,程序的运行与改动就像写在了那块玻璃上,除去玻璃,纸上还是一点改变都没有的。
支付宝沙箱环境 支付宝沙箱环境
10-29
支付宝沙箱环境
SpringBoot+Vue支付宝沙箱支付
06-16
SpringBoot+Vue支付宝沙箱支付
operator <=> (spaceship operator)
janeqi1987的专栏
05-28 1007
= 与!= 操作符为了检查是否相等,现在定义== 操作符就够了。当编译器找不到表达式的匹配声明a!=b 时,编译器会重写表达式并查找!(a==b)。若这不起作用,编译器也会尝试改变操作数的顺序,所以也会尝试!(b==a):a!=b,!(b==a)因此,对于TypeA 的a 和TypeB 的b,编译器将能够识别并编译a!= b若需要的话,可以这样做• 一个独立函数operator!• 一个独立函数operator==(TypeA, TypeB)
Java 异常处理中try-catch块、finally子句以及自定义异常的使用
最新发布
Itmastergo的博客
05-31 804
异常是程序运行过程中出现的非正常情况。Java 使用异常类(Exception 类及其子类)来表示这些异常情况。异常处理的核心思想是将正常的程序流程与异常处理流程分离开来,使代码更加清晰和可维护。Throwable 类:所有异常和错误的基类。Error 类:表示系统级的错误,程序通常无法处理,比如内存不足(OutOfMemoryError)。Exception 类:表示程序中可以处理的异常情况。RuntimeException 类。
Java手动启动jar包
liangweihao的博客
05-29 296
【代码】Java手动启动jar包。
java调用cmd执行命令
weixin_45210565的博客
05-28 260
3、exec(String command, String[] envp) ,在调用外部程序之前设置系统环境变量,该变量仅供command入参使用,envp每个元素为一个系统环境变量,并且字符串格式为“环境变量名=环境变量值”。2、exec(String[] cmdArray) ,调用外部程序,入参cmdArray的元素将组合成为一条完整的外部可执行程序的启动路径或命令。1、exec(String command) ,调用外部程序,入参command为外部可执行程序的启动路径或命令。
java多线程创建方式
weixin_57763462的博客
05-28 1076
这种方式是通过创建一个实现了Runnable接口的类,并实现run()方法来创建线程。然后将这个类的对象作为参数传递给Thread类的构造器,并调用Thread对象的start()方法来启动线程。这种方式是通过创建一个实现了Callable接口的类,实现call()方法,并使用FutureTask或者ExecutorService来创建线程。这种方式的优点在于,由于Java不支持多重继承,如果你的类需要继承其他类,那么实现Runnable接口将是唯一的选择。// 在这里定义线程的执行逻辑。
Java面向数据编程1.1版本
极道Jdon的技术博客
05-28 510
虽然将所有这些方法都集中在 Item 上似乎是合理的,因为它们都与购买流程交互,但增加了 predictLowStock(与基于机器学习的预购系统交互)、registerForRecommendations(另一个 ML 系统,这次是物品建议)和 reportPurchase(登记潜在危险物品的购买),让我们怀疑所有这些操作是否真的属于同一个接口。:这是不同上下文场景的方式,放在Item一个类或接口中肯定不对,如同学生借书,将借书这个动作建模在学生这个类或接口一样,借书时一种具体场景。
springboot沙箱
04-19
Spring Boot沙箱是一个用于开发和测试Spring Boot应用程序的环境。它提供了一个隔离的运行环境,可以在其中运行和调试应用程序,而不会影响到生产环境。 Spring Boot沙箱具有以下特点: 1. 隔离环境:沙箱提供了一...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值